计算机网络 网络安全------token

已于 2022-02-21 20:20:00 修改
阅读量1.6k 收藏 3
点赞数
分类专栏: Java 文章标签: shiro Java
于 2019-07-06 09:09:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vMars_K/article/details/94768858
版权

token简介

使用token之前:

在传统的web中,由于HTTP协议是无状态性的,它不会记住有哪些用户登录过,所以这时候人们用一个会话标识,即session id来区分每个访问。

浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应,tomcat生成的sessionid叫做jsessionid。这个session id是通过算法生成的随机数(tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+jvmid)客户端只保存sessionid到cookie中,而不会保存session,session保存在服务器内存中(当然也可以存在数据库中,但这样不可避免要承担读取数据库的消耗)。

但这就带来了许多问题

  • 随着访问量上升,因为服务器要保存所有访问的session,势必会带来性能上的问题。
  • 如果把session都存在一台服务器中,在多服务器下的集群场景时,就会造成刚刚在服务器A访问完,但新的请求被转发到服务器B,而服务器B是没有存他的session id的
  • 用户在访问时很容易受到CSRF(跨站请求伪造)的攻击

CSRF(跨站请求伪造):即攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、虚拟货币转账等。

面对这些问题,token就出世了。

token的用法:

token是通过对用户的信息进行加密处理获得的,一般放在请求头,在下一次请求时我们可以通过对比两次的 token 是否一致来判断是否是 CSRF 的伪造请求。

由于token是在请求头的,而不是像session id存在cookie中(在cookie中的话攻击者利用你的名义发请求,网站还是只验证你本地cookie的session id是否匹配,所以攻击者就能成功攻击),当攻击者想要利用你的身份发恶意请求时,由于他无法得知你请求头的token信息,所以无法伪造合法的请求。(相关如何预防csrf攻击

而在分布式的情况下,由于我们的服务器远远不止一台,每一次请求通过负载均衡服务器调度后,往往会访问到不同的服务器,这样就不能访问到之前的 Session数据,因此在分布式集群中需要一个公共的存储空间。

而使用 Session 存储、读取、校验 token 会有较大的复杂度与性能问题,所以一般通过对使用UserID、时间戳和随机数加密获得 token,而不是随机生成。

当请求来时只需要对其在进行一次计算就可以获得 token 了。这样就解除了服务端的负担,因为服务端现在要做的只是再生成 token,然后与请求头的进行比较而已

相关推荐:

vMars_K
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token介绍
weixin_42408447的博客
05-25 1108
一.Token是什么?   Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 二.Token的引入   Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 三.使用Token的目的 Token的目的是为了减轻服务器的压力,减少频
计算机网络 网络安全
许诗宇的博客
11-21 2533
目录 TCP/IP与网络安全 网络安全构成要素 防火墙 IDS (入侵检测系统) DMZ定义 反病毒/个人防火墙 PKI (公钥基础结构) 加密技术基础 对称密码体制与公钥密码体制 身份认证技术 安全协议 IPsec与VPN TLS/SSL与HTTPS IEEE802. 1 X TCP/IP与网络安全 起初,TCP/IP只用于一个相对封闭的环境,之后才发展为并无太...
网络编程之token、session、cookie详解
qq_30067153的博客
02-26 1492
理解cookie、session和token的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookie和token保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
最新发布
程序员三九的博客
05-16 429
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
什么是tokentoken是用来干嘛的?怎么使用?
JiangLu7的博客
06-10 1万+
使用token机制的身份验证方法
【校招VIP】前端网络相关之Token机制
shuize123的博客
11-28 42
Token 其实就是访问资源对凭证。一般是用户通过用户名和密码登录成功之后,服务器将登录凭证做数字签名,加密之后得到的字符串作为token
计算机网络Token、JWT
weixin_52690231的博客
04-27 1561
计算机网络Token、JWT
计算机网络网络安全
屎蛋的铲屎官
03-22 400
1.建立索引 建立索引可以用,分割来选多个,也可以用*来通配,比如: 2.查询方式 ⑴搜索栏 status:200 // 检查查询 status:[400 TO 499] // 范围查询 r status:[400 TO 499] AND (extension:php OR extension:html) // AND OR NOT ⑵通过filter栏 ⑶ Edit Query DSL ...
2022年市场-计算机网络多媒体与信息安全知识.pptx
11-14
计算机网络计算机网络是将地理位置不同的多个计算机系统通过通信设备和线路连接,实现资源共享的系统。其核心目的是实现信息的交互与共享。计算机网络可以按照使用地区范围、信息传输带宽、网络功能和结构等多...
计算机网络基础-局域网基础.pptx
11-18
计算机网络基础的局域网(LAN)是网络技术的一个重要组成部分,主要指在有限地理范围内,如一栋建筑或一个单位内部,将多台计算机和网络设备互相连接形成的高速网络系统。局域网的特点包括覆盖范围有限、传输质量...
网络模块-ARP详解-笔记
10-29
计算机网络,ARP 协议扮演着非常重要的角色,即在网络层和链路层之间提供了地址解析功能。 ARP 的工作原理 ARP 的工作原理可以分为以下几个步骤: 1. ARP 请求:源主机向目标主机发送 ARP 请求报文,以获取...
精品资料(2021-2022年收藏)计算机网络复习提纲.docx
12-03
计算机网络是信息技术领域的重要组成部分,涉及众多的...这些知识点涵盖了计算机网络的多个方面,包括网络层次结构、协议、数据传输、网络设备、网络服务以及网络安全等方面的内容,对于理解和学习计算机网络非常重要。
精品资料(2021-2022年收藏)计算机网络期期末复习卷.doc
11-30
计算机网络是信息技术领域的基础学科,它涵盖了数据通信、网络体系结构、网络协议、网络安全、网络设备等多个方面。上述题目主要涉及以下几个知识点: 1. **TCP/IP 协议**:Internet 的核心协议是 TCP/IP,它是一...
网络请求,cookie和token的区别
Java搜索工程技术栈
06-19 1954
在平常开发,用于用户登录校验的方法可以分为cookie和token,这两者比平常开发都有用到,那区别是什么,原先我觉得用户登录是后台的事不必多了解,用多了以后就开始好奇,为什么有些项目用cookie 有些用token?cookie之前在做存储区别的时候有说过,大小只有4kb, 往返于客户端和服务端之间。在用户校验过程,主要还是和服务端的session配合使用。大概的使用流程是,用户请求登录接口,服务端进行用户校验,校验通过则把用户信息储存在服务端的session当,并通过set-cookie把user
什么是tokentoken是用来干嘛的?
热门推荐
青春木鱼的博客
09-25 11万+
token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。说白了token是一个身份卡,有权限的作用
关于面试所提问的token
weixin_45355998的博客
03-13 3956
什么是Token? token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度...
前端网络基础 - Token
伏城之外的博客
03-19 2890
Session认证机制存在的问题 Session是基于Cookie工作的,所以当浏览器禁用cookie,或者发生跨站请求时,Session就无法工作了。 Session如果存储在服务器内存,则会占用大量服务器内存,并且当项目是分布式部署到多个服务器时,session共享与同步成为一个问题。 Session如果存储的数据,则可以解决分布式部署多个服务器间session共享和同步问题,但是如果数据库挂了,则所有分布式服务器的session认证都会失败,所以数据库也要集群部署,这意味着一份se...
计算机网络学习笔记五、Cookie、Session和Token
菜到不敢run
04-03 740
Cookie和Session   HTTP协议是无状态的,前后两次请求是相互独立,没有必然联系的,它并不会跟踪用户信息。Cookie和Session就是为了弥补这一不足,而引入的一种机制。 1. Cookie   Cookie实际是一小段文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。当浏览器再请求该网站时,浏览器把url+cookie一同提交。服务器检查该Cookie,以此来辨认用户状态。   Cookie具有不可跨域名性。它在客户端是由
计算机领域token的意思
Yi Sun的博客
09-23 1万+
这里转载两篇文章,解释了什么是token,他有多个意思。 原文一出处:token是什么 原文一内容如下: token是什么Token (计算机术语)在计算机身份认证是令牌(临时)的意思, 在词法分析是标记的意思。 令牌(信息安全术语)Token, 令牌,代表执行某些操作的权利的对象访问令牌(Access token)表示访问控制操作主体的系统对象邀请码,在邀请系统使用Toke...
自考计算机网络与通信试题精选(2002-2007)
这篇摘要涵盖了2002年至2007年间高等教育自学考试计算机网络与通信试题的部分内容,涉及到网络通信的基础知识和概念。以下是这些题目涉及的知识点: 1. **SLIP(Serial Line Internet Protocol)帧结构**:SLIP帧以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值